網絡優化應對ARP病毒

【摘要】提到ARP病毒，相信很多計算機網絡用戶對它深惡痛絕。ARP病毒攻擊手段主要是實施ARP欺騙，通過在網絡中發送虛假的ARP數據包，干擾網絡中主機的正常通信，造成網絡阻塞與癱瘓。

【關鍵詞】arp病毒病毒防護網絡優化super vlan

所有的局域網都曾受過ARP病毒的影響，所到之處，網絡故障頻繁，網速突然變慢，而且網絡連接時斷時續，輕則影響正常的工作秩序，重則可導致整個局域網絡癱瘓，甚至造成無法彌補的損失。因而，如何采取行之有效的措施防范ARP病毒，可以說是中小型企業及辦公環境局域網安全工作的重中之重。

1常見局域網共享上網環境現狀

中小型企業及辦公環境局域網絡常見具體現狀為：在中心機房通過路由器外網口（WAN）配置網通公司或電信公司分配的專線IP地址，內網口（lan）配置私網IP地址，路由器內網口經過一臺樓宇交換機轉接至各樓層交換機，每樓層各有一臺交換機作為相應樓層辦公室的上網接入使用。所有的交換機均在一個VLAN內，各辦公室的終端計算機配置路由器內網口的私網IP地址進行互聯網的訪問。一般接入的終端機數量100-300臺左右，由于各樓層的交換機與路由器的內網口均在同一VLAN內，內網IP一般都為C類私有地址網段，造成同一VLAN內的節點數量較多，存在大量的廣播報文，一方面導致用戶網速減慢，另一方面由于部分終端機感染ARP病毒，迅速導致整個網絡大面積爆發ARP病毒，造成整個局域網的不穩定。改造前的網絡拓撲結構如圖1所示。

ARP（Address Resolution Protocol，地址解析協議）處于OSI模型中的第三層，即網絡層。負責將某個IP地址解析成對應的MAC地址。ARP協議的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的進行。ARP具體說來就是將網絡層（IP層，也就是相當于OSI的第三層）地址解析為數據連接層（MAC層，也就是相當于OSI的第二層）的MAC地址。

ARP攻擊就是通過偽造IP地址和MAC地址實現ARP欺騙，能夠在網絡中產生大量的ARP通信量使網絡阻塞，攻擊者只要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條目，造成網絡中斷，一般情況ARP欺騙會將某臺計算機的MAC地址映射到網關的IP地址上，使得同一網段地址內的其他計算機誤將其作為網關，因此局域網內的計算機不能訪問因特網，但是內網互相是可以PING通的。

ARP欺騙木馬只需成功感染一臺電腦，就可能導致整個局域網都無法上網，嚴重的甚至可能帶來整個網絡的癱瘓。該木馬發作時除了會導致同一局域網內的其他用戶上網出現時斷時續的現象外，還會竊取用戶密碼。如盜取QQ密碼、盜取各種網絡游戲密碼和賬號去做金錢交易，盜竊網上銀行賬號來做非法交易活動等，這是木馬的慣用伎倆，給用戶造成了很大的不便和巨大的經濟損失。

2簡單的ARP病毒防護措施

2.1用戶端防范措施

安裝arp防火墻或者開啟局域網ARP防護，比如360安全衛士等arp病毒專殺工具，并且實時下載安裝系統漏洞補丁，關閉不必要的服務等來減少病毒的攻擊。

2.2在路由器上做IP與MAC綁定

在路由器上通過對IP地址和PC機的MAC地址進行綁定，而ARP欺騙是通過ARP的動態實時的規則欺騙內網計算機，所以把ARP全部設置為靜態可以解決對內網計算機的欺騙，同時在網關也要進行IP和MAC的靜態綁定，這樣的地址綁定可以在一定程度上解決問題。

以上兩種方法雖然能在一定程度上抑制病毒的發作和攻擊，但如果一旦PC機終端等隨意改變IP地址，網絡中的微機數量增加，廣播數量不斷增加，則網絡還是會出現問題。

3通過網絡優化解決問題

為徹底解決這一問題，決定對網絡進行優化改造。經過分析研究，確定采用s三層交換機的super VLAN技術進行不同部門之間的廣播域隔離保證各樓層之間的VLAN相對獨立，減少ARP病毒帶來的連鎖反應，避免網絡風暴的發生。

super VLAN又稱為VLAN聚合（VLAN Aggregation），其原理是一個Super VLAN包含多個Sub VLAN，每個Sub VLAN是一個廣播域，不同SubVLAN之間二層相互隔離。Super VLAN可以配置三層接口，Sub VLAN不能配置三層接口。當不同SubVLAN中的主機需要相互之間通訊時，則只要在SuperVLAN開啟ARP代理就可以了。

網絡優化規劃配置如下，如圖2所示。

Super vlan基本配置如下（以銳捷系列的交換機為例配置兩個子VLAN，更多的子VLAN以相同方法配置）：

創建VLAN

Switch#configure terminal

Switch(config)#vlan 50

Switch(config-vlan)#exit

Switch(config)#vlan51

Switch(config-vlan)#exit

Switch(config)#vlan52

Switch(config-vlan)#exit

配置super vlan和sub vlan

Switch(config)#vlan 50

Switch(config-vlan)#supervlan!將VLAN50配置為super vlan

Switch(config-vlan)#subvlan51，52 !將VLAN51、52配置為sub vlan并關聯到supervlan

配置sub vlan的IP地址范圍

Switch(config)#vlan 51

Switch(config-vlan)#subvlan-address-range 192.168.1.2 192.168.1.20

Switch(config-vlan)#exit

Switch(config)#vlan 52

Switch(config-vlan)#subvlan-address-range 192.168.1.21 192.168.1.31

Switch(config-vlan)#exit

配置super vlan的SVI接口，并將相應的物理端口劃分到相應的sub vlan

Switch(config)#interface vlan 50

Switch(config-if)#ip address 192.168.1.254 255.255.255.0

Switch(config-if)#exit

Switch(config)interface fa0/2

Switch(config-if)switchport access vlan51 !將三層2端口劃分到sub vlan51中；

相同的方法將端口劃分到不同的sub vlan中。

配置ARP代理

Switch(config)#vlan 50

Switch(config-vlan)#no proxy-arp !關閉ARP代理，讓各sub vlan不能互通銳捷交換機默認ARP代理是打開的經改造后，有效地制止了ARP病毒的大規模爆發，偶爾有某些電腦感染了ARP病毒，也能很快找到中毒電腦，及時阻斷。從而減少ARP廣播風暴的發生，輕松應對ARP病毒的攻擊，增強網絡的穩定性，提高網絡運行效率。

4結束語

通過網絡優化可在很大程度上解決ARP病毒的問題。但是計算機病毒的發展趨勢也是非常迅猛的，沒有任何一種反病毒技術手段可以使我們高枕無憂，任何技術手段也僅僅只是一種方法。在對付計算機病毒最根本的方法仍然是預防為主，不要使用、傳播非法的、來歷不明的軟件。